如何防火墙F10000最新版本将NAT日志发送至日志主机,并在华三日志审计上看到这条日志记录
(0)
以下是最新版本Comware V7系统下的典型配置流程:
核心思路是:启用信息中心 -> 配置日志主机 -> 在NAT策略上启用日志记录。
信息中心是设备发送所有日志的总开关。默认可能是开启的,但建议确认一下。
system-view
info-center enable
这里需要指定日志审计系统的IP地址、使用的协议(通常为UDP)、端口号(默认514)和日志输出的格式。
system-view
# 配置日志主机的IP地址、协议和端口。
# 假设您的日志审计系统IP是 192.168.1.100
info-center loghost 192.168.1.100 transport udp port 514
# (强烈建议)设置发送到日志主机的日志源格式为“unicom”,这是一种标准格式,兼容性好。
info-center source nat loghost level informational format unicom
loghost
: 指定日志主机模式。
transport udp port 514
: 使用UDP协议,端口514是syslog标准端口。
source nat
: 指定NAT模块作为日志源。
level informational
: 设置日志级别为“信息”级别,这会记录所有NAT会话建立和删除的信息。
format unicom
: 使用一种标准的、易于解析的日志格式。
这是最关键的一步,需要在您现有的NAT策略(如nat outbound
或nat server
)上加上logging
参数。
对于出向动态NAT(例如,内网用户上网):
# 进入接口视图或策略视图
interface GigabitEthernet1/0/1
# 在原有的nat outbound命令后追加logging
nat outbound 3000 address-group 1 logging
# 或者如果之前没有logging,可能需要先undo掉原命令再重新绑定
# undo nat outbound 3000
# nat outbound 3000 address-group 1 logging
对于静态NAT(例如,发布内网服务器):
# 进入接口视图
interface GigabitEthernet1/0/0
# 在原有的nat server命令后追加logging
nat server protocol tcp global 202.96.1.100 80 inside 192.168.1.10 80 logging
关键点: logging
关键字是让防火墙记录NAT会话生命周期(新建和删除)日志的直接指令。
如果网络日志量很大,可以调整日志队列缓冲区和输出速率,防止丢包。
info-center loghost source GigabitEthernet1/0/0 # 指定发送日志的源接口
info-center max-logfile-size 2048 # 设置日志文件大小
info-center loghost rate-limit 1024 # 限制发送速率(单位:条/秒)
防火墙配置完成后,产生NAT流量时,日志就会发出。您需要在日志审计系统上确保能正确接收和解析。
登录日志审计系统的Web管理界面。
进入 “设备管理” 或 “日志源管理” 菜单。
确认已添加了您的F10000防火墙作为日志源设备。填写其IP地址,并选择协议为UDP
,端口为514
(与防火墙配置一致)。
进入 “日志审计” -> “实时日志” 或 “原始日志” 查看界面。
在过滤条件中,选择或填写 “日志源IP” 为您的F10000防火墙的地址。
在搜索框里,您可以输入关键词来快速定位NAT日志,例如:
NAT/SESSION/CREATE
: 搜索NAT会话创建的日志。
NAT/SESSION/DELETE
: 搜索NAT会话删除的日志。
具体的私网IP地址(如 192.168.1.50
)或公网IP地址。
一条典型的NAT创建日志在“unicom”格式下可能看起来像这样(字段顺序可能因版本略有不同):
<186>1 2024-05-27T10:30:25+08:00 10.1.1.1 NAT - - - [SYSLOG][NAT][SESSION][CREATE]; From inside; SrcIP: 192.168.1.50(55000); DstIP: 202.96.1.1(80); Proto: TCP; SrcIPAfterNAT: 202.96.1.200(1024).
关键信息解析:
[NAT][SESSION][CREATE]
: 表示这是一条NAT会话创建日志。
From inside
: 表示流量从inside区域而来。
SrcIP: 192.168.1.50(55000)
: 转换前的内网源IP和端口。
DstIP: 202.96.1.1(80)
: 目的公网IP和端口。
SrcIPAfterNAT: 202.96.1.200(1024)
: NAT转换后使用的公网IP和端口。
防火墙无日志发出:
检查 info-center enable
是否已配置。
检查 info-center loghost
配置的IP和端口是否正确。
检查防火墙与日志审计系统之间的网络连通性(用ping
和telnet 日志主机IP 514
测试)。
检查防火墙的源接口路由是否可达。
审计系统收不到日志:
检查审计系统上的日志源设备地址是否正确添加。
检查审计系统是否监听了UDP 514端口。
看不到NAT日志:
确认在NAT策略上正确配置了 logging
。
在防火墙上使用 display logbuffer
命令查看本地缓冲区的日志,先确认防火墙本身是否生成了NAT日志。如果这里都没有,说明NAT策略或日志配置有问题。
按照以上步骤操作,您应该能在H3C日志审计系统上成功看到来自F10000防火墙的详细NAT会话日志记录。
(0)
参考:
本举例是在F1090的R8660P33版本上进行配置和验证的。
如下图所示,通过在设备Device上配置Flow日志主机组功能,实现仅在日志主机Log Host1上对用户User的上网活动进行监控。
图-1 Flow日志主机组配置组网图
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface loopback 0
[Device-LoopBack0] ip address 3.3.3.3 255.255.255.0
[Device-LoopBack0] quit
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 169.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Internet的下一跳IP地址为4.4.4.1,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 4.4.4.1
配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/4
[Device-security-zone-Untrust] quit
配置安全策略
# 配置名称为loglocalout的安全策略规则,使Device可以向日志主机发送日志信息报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone dmz
[Device-security-policy-ip-1-loglocalout] source-ip-host 3.3.3.3
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.1.1.2
[Device-security-policy-ip-1-loglocalout] destination-ip-host 2.2.2.2
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
# 配置名称为trust-untrust的安全策略规则,使用户User可以正常访问Internet,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-trust-untrust] source-zone trust
[Device-security-policy-ip-3-trust-untrust] destination-zone untrust
[Device-security-policy-ip-3-trust-untrust] source-ip-subnet 169.1.1.0 24
[Device-security-policy-ip-3-trust-untrust] action pass
[Device-security-policy-ip-3-trust-untrust] quit
[Device-security-policy-ip] quit
配置Flow日志
# 开启NAT新建、删除会话和活跃流的日志功能,具体配置步骤如下。
[Device] nat log enable
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 配置Flow日志输出到日志主机,将3.3.3.3配置为承载Flow日志的UDP报文的源IP地址,具体配置步骤如下。
[Device] userlog flow export host 1.1.1.2 port 2000
[Device] userlog flow export host 2.2.2.2 port 2000
[Device] userlog flow export source-ip 3.3.3.3
# 配置用于匹配日志信息的ACL,匹配源IP为169.1.1.2的报文,具体配置步骤如下。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 169.1.1.2 0.0.0.0
[Device-acl-ipv4-basic-2000] quit
# 创建IPv4 Flow日志主机组并添加日志主机,具体配置步骤如下。
[Device] userlog host-group test acl number 2000
[Device-userlog-host-group-test] userlog host-group host flow 1.1.1.2
[Device-userlog-host-group-test] quit
# 查看Flow日志主机组的配置信息。
[Device] display userlog host-group test
Userlog host-group test:
ACL number: 2000
Flow log host numbers: 1
Log host 1:
Host/port: 1.1.1.2/2000
# 用户User上网之后,查看Flow日志的统计信息。
[Device] display userlog export
Flow:
Export flow log as UDP Packet.
Version: 1.0
Source ipv4 address: 3.3.3.3
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 2
Log host 1:
Host/Port: 1.1.1.2/2000
Total logs/UDP packets exported: 13/13
Log host 2:
Host/Port: 2.2.2.2/2000
Total logs/UDP packets exported: 0/0
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论